Ir al contenido

Webinar: Regístrese para nuestro próximo seminario web

Regístrate Ahora

  1. Blog
    2. Protección de Datos

Lista de materiales criptográfica (CBOM): la clave para proteger su cadena de suministro de software

Publicado porAmit Rastogi 05 Minutos
Banner de CBOM
Tabla de contenido

Los ataques a la cadena de suministro son diversos y afectan tanto a empresas como a entidades gubernamentales. Dado que los productos de software comercial y de código abierto son objetivos potenciales de estos ataques, es fundamental que su organización tenga una visibilidad clara del software y los activos criptográficos utilizados en sus procesos de desarrollo e implementación de software para protegerse y mitigar estos ataques.   

En 2020, el Ataque a la cadena de suministro de SolarWinds No solo afectó a miles de organizaciones, sino también al gobierno de EE. UU. Los hackers inyectaron una puerta trasera, llamada SUNBURST, en la herramienta de actualización informática de Orion.  

En febrero de 2021, un investigador de seguridad, Alex Birsan, pudo violar las redes de Microsoft, Tesla, Uber y Apple mediante la confusión de dependencias al ejecutar malware en su red anulando paquetes de software llamados "dependencias" con paquetes maliciosos del mismo nombre.  

Para mejorar la seguridad contra este tipo de ataques, el gobierno estadounidense emitió en 2021 una orden ejecutiva que exige a los proveedores de software proporcionar una lista de materiales de software (SBOM). La SBOM es una lista completa de todos los módulos, bibliotecas y dependencias de terceros, así como información de metadatos, como licencias y versiones, asociadas a sus aplicaciones de software, lo que permite identificar y actualizar rápidamente los componentes afectados por un ataque a la cadena de suministro.  

Además, el Instituto Nacional de Normas (NIST) ha recomendado ampliar el SBOM con una Lista de Materiales de Criptografía (CBOM) como parte de sus directrices para la adopción de la Criptografía Post Cuántica (PQC). 

¿Qué es una lista de materiales criptográficos (CBOM)?  

Un CBOM proporciona una visión detallada de los diversos activos criptográficos asociados a su inventario SBOM. Mientras que su inventario SBOM normalmente incluiría el sistema operativo, el servidor web o de aplicaciones, la biblioteca SSL/TLS (OpenSSL), las herramientas de configuración, monitorización y gestión de registros, junto con su información de metadatos, su inventario CBOM, por otro lado, complementaría su inventario SBOM con detalles como Certificados X.509, claves SSH y sus tamaños, algoritmos criptográficos de clave pública como RSA, ECDSA y otros, algoritmos hash como SHA1, SHA2, etc. y cualquier información de metadatos adicional como licencia y cualquier vulnerabilidad conocida.   

CBOM

Obtenga visibilidad completa con descubrimiento criptográfico continuo, inventario automatizado y remediación de PQC basada en datos.

Solicitar demostración

¿Cómo ayudaría CBOM a mejorar su postura de seguridad?  

El CBOM proporciona a su organización una visión detallada de los activos criptográficos relacionados con el software comercial y de código abierto que se utiliza en su organización. Esto facilita la gestión y el monitoreo de la huella criptográfica, lo que a su vez mejora la agilidad de seguridad de su organización al tomar medidas proactivas para protegerse contra diversos ataques a la cadena de suministro y permitir tiempos de respuesta más rápidos para responder y recuperarse de dichos ataques mediante la rápida identificación y parcheo de los componentes afectados. Por el contrario, sin un CBOM, las implicaciones operativas y financieras de cualquier brecha de seguridad serían múltiples. Contar con un inventario actualizado de CBOM también ayudará a su organización a cumplir con diversos requisitos de cumplimiento normativo, como NIST, ISO 27001 y RGPD.   

Como CBOM proporciona una visión más profunda de nuestros activos criptográficos, también ayudaría a planificar la migración de algoritmos existentes como RSA, DSA, ECDSA, y ECDH a los algoritmos de criptografía post cuántica (PQC) como ML-KEM, ML-DSA, SLH-DSA.   

Consideraciones clave para implementar CBOM en su organización

Veamos algunas de las consideraciones clave para implementar CBOM en su organización.

  1. Descubriendo las entidades criptográficas

    Uno de los aspectos importantes para crear su inventario CBOM es identificar varias entidades criptográficas dentro de su sistema, como aplicaciones de terceros (base de datos, herramientas de gestión de configuración y automatización), código fuente, datos en reposo (archivos de configuración, Certificados digitales, contraseñas y claves), datos en movimiento (SSL / TLS protocolos y configuraciones de VPN) y hardware (HSM y dispositivos IoT).

  2. Creación y mantenimiento del inventario CBOM

    Otro aspecto a considerar es determinar cuándo generar el inventario durante las distintas etapas de desarrollo e implementación de un sistema. Cada etapa puede generar su propio inventario, ampliando el de etapas anteriores y capturando la conexión entre la etapa en la que se introdujo un componente del inventario, lo que facilita el análisis y la corrección de cualquier vulnerabilidad. Además, las distintas partes interesadas de las organizaciones podrían tener diferentes requisitos para el alcance del inventario. Por ejemplo, el equipo de desarrollo de productos estaría interesado en el inventario criptográfico relacionado con el código fuente, las dependencias de software y la configuración de las aplicaciones, mientras que el equipo de operaciones de TI podría estar interesado en un inventario más amplio relacionado con el software. PKI, SaaS, red, datos y hardware.

  3. Auditoría y revisión del inventario del CBOM

    Las auditorías y revisiones periódicas del CBOM son cruciales para garantizar que las entidades criptográficas se alineen con los últimos estándares de seguridad y solucionen cualquier vulnerabilidad inminente, por ejemplo, reemplazar tamaños de claves y algoritmos vulnerables, renovar y revocar certificados, etc.

Servicios de asesoramiento de PQC

Obtenga preparación post-cuántica con una evaluación criptográfica dirigida por expertos, una estrategia de migración y una implementación práctica alineada con los estándares NIST.

Leer Más

¿Cómo podría ayudar Encryption Consulting?  

El servicio de evaluación PQC de Encryption Consulting podría ayudar a su organización realizando una evaluación detallada de sus entornos locales, en la nube y SaaS, identificando vulnerabilidades y recomendando las mejores estrategias para mitigar los riesgos cuánticos.  

Nuestro servicio de evaluación PQC cubre una evaluación detallada de riesgos de su entorno criptográfico actual, el desarrollo de una estrategia y un plan de hoja de ruta para mitigar los riesgos identificados y la implementación de las tecnologías y soluciones necesarias para lograr un entorno resistente.  

Para obtener más información relacionada con nuestros productos y servicios, visite Servicios criptográficos postcuánticos.

Conclusión

Concluir, identificar y gestionar el software de su organización y sus activos criptográficos asociados utilizando SBOM y CBOM respectivamente es la clave para salvaguardar y mitigar los riesgos asociados con las vulnerabilidades del software y los ataques criptográficos. 

Descubra nuestra

Blogs relacionados

Compatibilidad con PQC en navegadores web

Compatibilidad con criptografía postcuántica en navegadores web

Marzo 31, 2026
Confía ahora, forja después

Su guía para comprender el ataque Trust Now Forge Later

Marzo 9, 2026
Migración de PQC

Navegando por la migración de PQC para proteger su criptografía

Marzo 3, 2026

Explore

Más temas